0x00  漏洞編号

• CVE-2020-11651
• CVE-2020-11652

0x01  漏洞概述

SaltStack 是基于 Python 開發的(de)一(yī)套C/S架構配置管理(lǐ)工具。國(guó)外某安全團隊披露了 SaltStack 存在認證繞過漏洞（CVE-2020-11651）和(hé)目錄遍曆漏洞（CVE-2020-11652）。在 CVE-2020-11651 認證繞過漏洞中，攻擊者通過構造惡意請求，可(kě)以繞過 Salt Master 的(de)驗證邏輯，調用相關未授權函數功能，從而可(kě)以造成遠程命令執行(xíng)漏洞。在 CVE-2020-11652 目錄遍曆漏洞中，攻擊者通過構造惡意請求，讀取服務器上任意文件。

0x02  漏洞描述

CVE-2020-11651

ClearFuncs 類在處理(lǐ)授權時，并未限制 _send_pub() 方法，該方法直接可(kě)以在發布隊列消息，發布的(de)消息會通過 root 身份權限進行(xíng)執行(xíng)命令。

ClearFuncs還公開了_prep_auth_info()方法，通過該方法可(kě)以獲取到"root key"，通過獲取到的(de)"root key"可(kě)以在主服務上執遠程調用命令。CVE-2020-11652

whell 模塊中包含用于在特定目錄下讀取、寫入文件命令。函數中輸入的(de)信息與目錄進行(xíng)拼接可(kě)以繞過目錄限制。

在salt.tokens.localfs類的(de)get_token() 方法（由 ClearFuncs 類可(kě)以通過未授權進行(xíng)調用）無法删除輸入的(de)參數，并且作為(wèi)文件名稱使用，在路徑中通過拼接”..”進行(xíng)讀取目标目錄之外的(de)文件。唯一(yī)的(de)限制時文件必須通過salt.payload.Serial.loads()進行(xíng)反序列化。

0x03 影響版本

< 2019.2.4

< 3000.2

0x04 修複建議

升級至安全版本

官方鏈接地(dì)址：

https://community.saltstack.com/blog/critical-vulnerabilities-update-cve-2020-11651-and-cve-2020-11652/